REU, Alm.del - 2019-20 - Bilag 577: Ministerredegørelse til Statsrevisorenes beretning (outsourcede persondata), fra justitsministeren

Retsudvalget 2019-20
REU Alm.del Bilag 577
Offentligt

Justitsministeren

Statsrevisorernes Sekretariat

Folketinget

Christiansborg

Dato:

Dok.:

21. september 2020

1553334

Ministerredegørelse vedrørende Statsrevisorernes og Rigsrevisionens

beretning nr. 15/2019 om outsourcede persondata

Jeg har ved brev af 19. maj 2020 modtaget Statsrevisorernes og Rigsrevi-

sionens beretning nr. 15/2019 om outsourcede persondata. Statsrevisorerne

har på den baggrund anmodet mig om en redegørelse for, hvilke foranstalt-

ninger og overvejelser beretningen giver anledning til, jf. lov om revision af

statens regnskaber m.m. § 18, stk. 2.

Indledningsvis vil jeg gerne kvittere for beretningen. Det er vigtigt, at myn-

dighederne i tilstrækkelig grad sikrer borgernes personoplysninger, så de

ikke risikerer at komme uvedkommende i hænde. Vigtigheden understøttes

af, at Danmark, som Statsrevisorerne og Rigsrevisionen også påpeger, er et

af de mest digitaliserede lande i verden.

1. Styring af databehandlere

Af beretningen fremgår, at Statsrevisorerne påtaler og finder det meget al-

vorligt, at myndighederne ikke har sikret, at outsourcede følsomme og for-

trolige persondata opbevares sikkert hos de eksterne databehandlere. Stats-

revisorerne påtaler i den forbindelse, at myndighederne ikke har overholdt

reglerne om databeskyttelse, herunder krav om at udarbejde risikovurderin-

ger, indgå databehandleraftaler og føre tilsyn med databehandlere, som har

været gældende siden år 2000.

Rigsrevisionen anfører desuden i beretningen, at myndighederne samlet set

har haft en meget utilfredsstillende styring af databehandlere, som opbeva-

rer følsomme og fortrolige persondata, for de it-systemer, som indgår i un-

dersøgelsen.

Slotsholmsgade 10

1216 København K.

T +45 7226 8400

F +45 3393 3510

www.justitsministeriet.dk

[email protected]

REU, Alm.del - 2019-20 - Bilag 577: Ministerredegørelse til Statsrevisorenes beretning (outsourcede persondata), fra justitsministeren

Baggrunden for Rigsrevisionens undersøgelse af myndighedernes indsats

for at sikre, at outsourcede følsomme og fortrolige persondata om borgerne

opbevares sikkert, er bl.a. de nye databeskyttelsesregler, herunder databe-

skyttelsesforordningen, der har været gældende fra 25. maj 2018, hvor den

afløste persondataloven fra 2000.

Databeskyttelsesforordningen er et omfattende regelsæt, som det har krævet

tid at tilpasse persondatabehandlingen til. Danske offentlige myndigheder

behandler store mængder af personoplysninger om borgerne, og det kan

have store konsekvenser for den enkelte, hvis de skulle gå tabt eller ende i

de forkerte hænder.

På den baggrund er vigtigheden i, at behandling af outsourcet persondata

lever op til databeskyttelsesforordningens regler, blevet indskærpet på mi-

nisterområdet. Det er særligt blevet drøftet med myndighederne, at de skal

fokusere på at rette op på de kritikpunkter, beretningen rejser i forhold til

styring af deres databehandlere.

Justitsministeriets departement er i øvrigt i gang med at implementere nye

interne regler om informationssikkerhed i leverandørforhold. De nye regler

skal bl.a. sikre, at departementets styring af databehandlere imødekommer

observationerne og kritikpunkterne i Rigsrevisionens undersøgelse, bl.a. i

forhold til udarbejdelse af risikovurderinger og indgåelse og kontrol med

efterlevelse af databehandleraftaler samt overblik over cloud-leverandørers

standardvilkår i det omfang sådanne benyttes.

Derudover indgår databehandleraftaler og håndteringen af persondata i den

igangværende undersøgelse, som Justitsministeriet foretager om datahånd-

tering hos politiet og anklagemyndigheden. Det forventes, at undersøgelsen

vil give yderligere anbefalinger til at styrke datahåndteringen.

Justitsministeriets departement vil i sit løbende tilsyn, vejledning og samar-

bejde med myndighederne på ministerområdet have særlig fokus på at følge

op på myndighedernes styring af deres databehandleres behandling af per-

sondata.

2. Understøttelse af myndighedernes styring af databehandlere

Af beretningen fremgår, at Statsrevisorerne og Rigsrevisionen finder det

utilfredsstillende, at Justitsministeriet, herunder Datatilsynet, og Finansmi-

nisteriet, ikke i tilstrækkelig grad har understøttet de øvrige myndigheders

styring af databehandlere.

REU, Alm.del - 2019-20 - Bilag 577: Ministerredegørelse til Statsrevisorenes beretning (outsourcede persondata), fra justitsministeren

Kritikken kan deles op i tre. For det

første

kritiseres det, at en række vejled-

ninger om databeskyttelsesreglerne efter Statsrevisorernes og Rigsrevisio-

nens opfattelse kom for sent. For det

andet

kritiseres det, at der – på tids-

punktet for Statsrevisorernes bemærkninger og beretningens offentliggø-

relse – ikke var udstedt en bekendtgørelse eller vejledning om lokationskra-

vet i databeskyttelsesloven. Endelig kritiseres det for det

tredje,

at Datatil-

synet ikke har ført et risikobaseret tilsyn.

I det følgende redegøres der nærmere for håndteringen og de overvejelser,

som beretningen giver anledning til, for så vidt angår denne del.

2.1. Vejledningsindsats

Af Statsrevisorernes bemærkninger fremgår, at væsentlige vejledninger fra

bl.a. Justitsministeriet først udkom, efter at myndighederne skulle have im-

plementeret databeskyttelsesforordningen, dvs. efter den 25. maj 2018.

Rigsrevisionen anfører i beretningen, at det findes uhensigtsmæssigt, at otte

ud af 20 vejledninger udkom efter databeskyttelsesforordningens anvendel-

sestidspunkt.

Der er ingen tvivl om, at databeskyttelsesforordningen har fået betydelig

opmærksomhed i samfundet. Før reglerne fandt anvendelse blev der således

også over for Justitsministeriet givet udtryk for et behov for vejledning om

reglerne.

Bl.a. på denne baggrund blev der iværksat et betydeligt vejledningsarbejde,

hvilket arbejde først og fremmest bygger på betænkning 1565/2017 fra maj

2017. Ligeledes er der efterfølgende udarbejdet vejledninger inden for de

væsentligste områder af databeskyttelsesreglerne. Jeg noterer mig i den for-

bindelse også, at Rigsrevisionen finder det positivt, at der er udgivet 20 vej-

ledninger til brug for myndighedernes implementering af databeskyttelses-

forordningen.

Jeg er grundlæggende enig i præmissen om, at det havde været mest hen-

sigtsmæssigt, hvis alle planlagte vejledninger var udkommet senest samtidig

med databeskyttelsesforordningens anvendelsestidspunkt. Otte ud af 20 vej-

ledninger nåede imidlertid ikke at blive færdige til den 25. maj 2018. Det er

dog også vigtigt at bemærke, at myndighederne principielt ikke har været

forpligtet til at udgive vejledningerne.

REU, Alm.del - 2019-20 - Bilag 577: Ministerredegørelse til Statsrevisorenes beretning (outsourcede persondata), fra justitsministeren

Hvad angår vejledning, er det en løbende opgave for Datatilsynet at vejlede

om databeskyttelsesreglernes indhold. Datatilsynet har i den forbindelse op-

lyst, at der efter tilsynets opfattelse på tværs af sektorerne herhjemme er et

stort og reelt behov for mere (konkret) vejledning om databeskyttelsesreg-

lerne. En sådan mere (konkret) vedledningsindsats fra Datatilsynets side vil

således ud over at kunne bidrage til beskyttelses af borgerne (de registre-

rede) også kunne bidrage til, at uvidenhed ikke fører til overimplementering

af reglerne eller i øvrigt unødigt begrænser aktiviteterne hos virksomheder

og myndigheder. Datatilsynet har desuden oplyst, at vejledning på databe-

skyttelsesområdet allerede i dag er en meget højt prioritet i tilsynet. Datatil-

synet overvejer imidlertid, hvordan tilsynet kan øge omfanget af vejled-

ningsindsatsen og sikre, at tilsynets vejledning bliver mere konkret, uden at

det går ud over tilsynets øvrige opgaver, herunder klagesagsbehandling og

gennemførelse af tilsyn.

2.2. Lokationskravet i databeskyttelsesloven

Rigsrevisionens beretning om outsourcede persondata blev offentliggjort

den 15. maj 2020. Jeg kan i forlængelse heraf oplyse, at lokationskravsbe-

kendtgørelsen blev udstedt den 30. juni 2020, og den tilhørende vejledning

nr. 9557 om lokationskravet i databeskyttelsesloven blev udgivet samtidig

hermed.

Reglen i databeskyttelseslovens § 3, stk. 9 (lokationskravet), indebærer, at

nogle it-systemer – hvis det er nødvendigt af hensyn til statens sikkerhed –

skal opbevares her i landet. Vurderingen foretages efter rådgivning fra PET

og kan være omfattende og tidskrævende.

Vejledningen om lokationskravet i databeskyttelsesloven er således udar-

bejdet med udgangspunkt i de tværgående erfaringer, der allerede er gjort i

forbindelse med de vurderede it-systemer. Vejledningen skal hjælpe de på-

gældende relevante ressortministerier og underliggende myndigheder til

selv at foretage den indledningsvise vurdering af, om et it-system kan være

omfattet af reglen.

2.3. Datatilsynets tilsyn

Statsrevisorerne og Rigsrevisionen bemærker, at Datatilsynet ikke har ført

et risikobaseret tilsyn, og at tilsynet ikke har opdateret sin strategi, siden

databeskyttelsesforordningens anvendelsestidspunkt den 25. maj 2018. Det

bemærkes desuden, at Datatilsynet ikke har gennemført de tilsyn hos offent-

lige myndigheder og private virksomheder, som var planlagt, og at dette har

medført en lav risiko for at blive opdaget i overtrædelser af reglerne.

REU, Alm.del - 2019-20 - Bilag 577: Ministerredegørelse til Statsrevisorenes beretning (outsourcede persondata), fra justitsministeren

Datatilsynet har oplyst, at tilsynet har taget Rigsrevisionens bemærkninger

til efterretning. Tilsynet oplyser i den forbindelse, at det vurderes, at et risi-

kobaseret tilsynsarbejde og dokumentationen heraf i høj grad skal basere sig

på data om tilsynsobjekterne, om tilknyttede brancher, aktuelle klagetemaer

og om muligt teknologiske tendenser. Tilsynet har i den forbindelse måttet

erkende, at tilsynet kun i beskedent omfang har adgang til data i en sådan

form, at de pt. kan danne grundlag for en tilsynsindsats, der samlet set kan

karakteriseres som databaseret, ligesom tilsynet ikke pt. besidder tilstræk-

kelige medarbejderkompetencer til at kunne bearbejde data i større omfang.

Datatilsynet har på den baggrund igangsat et arbejde, som samlet set skal

understøtte at tilsynet – som fremhævet af Rigsrevisionen – i højere grad

fører tilsyn »de rigtige steder«, og som skal understøtte, at tilsynets aktivi-

teter har den størst mulige præventive effekt. Dette arbejde indebærer akti-

viteter, som bl.a. skal understøtte:

Øget adgang til relevante datakilder, f.eks. forsøg med større ensartede

spørgeskemaundersøgelser (screeninger) af dataansvarlige, samarbejde

med andre myndigheder og øget brug af data fra CVR.

Tilstrækkelig kvalitet af data, f.eks. indsamling af data i systematiseret

form og øget brug af metadata.

Kvalificeret brug af data, f.eks. fastsættelse af klare kriterier for udvæl-

gelse af tilsynssubjekter og øget brug af data som led i den almindelige

informationsindsats.

3. Afsluttende bemærkninger

Afslutningsvis vil jeg igen takke for beretningen og understrege, at jeg me-

ner, at beretningen tager et vigtigt emne op. Jeg vil derfor også som nævnt

bl.a. sørge for, at departementet i fremtiden vil have endnu større fokus på

de relevante underliggende myndigheders styring af databehandlere.

En kopi af dette brev er samtidig fremsendt elektronisk til Rigsrevisionen.

Med venlig hilsen

Nick Hækkerup